BTC $- · ETH $- · SOL $- · BNB $- · XRP $- · DOGE $- · TON $- · ADA $- · AVAX $- · LINK $- · SUI $- · TRX $- · gas - gwei degen 86/100

~/defi/hacks $ cat kak-lomayut-defi-vektory.md

DeFi bị bẻ thế nào: năm vector gánh hàng tỷ đô tổn thất

đội crptch · bộ phận phân tích · 2 thời gian đọc

DeFi mất hàng tỷ mỗi năm, nhưng vẻ đa dạng của các vụ tấn công đánh lừa: đa số áp đảo sự cố - năm vector lặp lại.

Năm vector

  • 1. Thao túng oracle. Giao thức đọc giá từ pool mỏng - kẻ tấn công đẩy nó bằng khối lượng flash loan rồi vay/rút theo định giá vẽ. Kinh điển muôn thuở của thể loại.
  • 2. Reentrancy và bug logic. Lỗi trong code: gọi lại hàm trước khi cập nhật số dư, làm tròn cong vẹo, quên kiểm quyền. Chữa bằng audit - mà vẫn xảy ra.
  • 3. Private key và multisig. Vector đắt nhất các năm gần đây - không phải code mà con người: phishing người ký, deployer bị chiếm, giao diện ký giả. Vụ trộm Bybit (2025, ~$1.5 tỷ, Lazarus) - đỉnh của thể loại này.
  • 4. Bridge. Nơi ký gửi tài sản của người khác với các validator trung gian - nạn nhân chính của thập kỷ: Ronin, Wormhole, Nomad. Chi tiết - ở chuyên mục bridge.
  • 5. Tấn công governance. Gom/vay phiếu → đề xuất độc → ngân khố. Rẻ ở nơi token rẻ hơn ngân khố.

Người dùng rút ra gì

Đa dạng hóa theo giao thức - không phải hoang tưởng mà là câu trả lời cho mức rủi ro nền của mảng. Tuổi code và bug bounty có tác dụng. Còn rủi ro bị đánh giá thấp nhất - không phải smart contract mà là vận hành của các đội: khóa, người ký, phishing. Biên niên sự cố chúng tôi giữ ở chuyên mục hack.

$ grep --tags: #defi взломы#эксплойт что это#безопасность defi

✓ thành tích